Lovgivningen stiller krav til informasjonssikkerhet og personvern. Disse kravene gjelder uavhengig av Normen, og aktuelle tilsynsmyndigheter (særlig Datatilsynet og Helsetilsynet) kan kontrollere den enkelte virksomhets etterlevelse av lovene.
Normen dekker ikke alle lovkrav til informasjonssikkerhet, personvern og behandling av helse- og personopplysninger.
Lovgivningen har flere krav til informasjonssikkerhet, personvern og behandling av helse- og personopplysninger enn det som er hovedtema for Normen, for eksempel flere problemstillinger rundt bruk av helse- og personopplysninger for andre formål enn ytelse av helse- og omsorgstjenester, spesifikke krav til registre som har egne forskrifter, rettsgrunnlag for behandling av helse- og personopplysninger samt plikt til og krav til journalføring. Informasjonssikkerhet er også regulert i annet lovverk enn det som gjelder behandling av personopplysninger.
Normens krav utdyper og supplerer gjeldende regelverk.
Overholdelse av kravene i Normen kan brukes for å påvise at virksomhetens forpliktelser etter regelverket overholdes.
Normen har i liten grad lovhenvisninger i dokumentet. Lov- og forskriftshjemler til Normens krav finnes i Normens krav mappet mot krav i anskaffelser, krav i ISO 27001 og kontroller i ISO 27002 (vedlegg til Normen).
